СКАЧАТЬ РАБОТУ БЕСПЛАТНО -
Созданию службы безопасности предприятия обычно предшествуют два события: либо это острое желание руководителей предприятия отреагировать на внезапно возникшие реальные угрозы имуществу, физической расправы с персоналом и т.д., либо это основанный на результатах исследования вывод о неудовлетворительном состоянии безопасности предприятия. В первом случае созданная поспешно служба безопасности способна в некоторой степени отразить угрозы и в дальнейшем реагировать на их появление по принципу «угроза — отражение». Дело меняется существенным образом при реализации второго варианта. После детального изучения состояния безопасности предприятия (с привлечением специалистов, если их нет на предприятии) у его руководителей появится реальное представление о системе безопасности предприятия [2].
Такое системное представление (зафиксированное в письменной форме) позволяет осознанно и целенаправленно проводить работу по обеспечению безопасности предпринимательской деятельности и самого предприятия всеми его подразделениями и сотрудниками. При этом ведущая роль службы безопасности не исчезает, наоборот, понимание своей роли и места в системе безопасности предприятия приведет только к положительным результатам.
Следует однако подчеркнуть, что до настоящего времени нет единого подхода к определению понятия «система безопасности предприятия». Чтобы дать такое определение, необходимо предварительно выявить элементы этой системы. Изучение специализированной литературы и практики позволили автору прийти к выводу, что структурными элементами системы безопасности предприятия являются научная теория его безопасности, политика и стратегия безопасности, средства и методы обеспечения безопасности и, наконец, концепция безопасности предприятия.
Совокупность вышеперечисленных элементов составляет систему безопасности предприятия [2].
Под угрозой безопасности предприятия следует понимать потенциально или реально возможное событие, действие, процесс или явление, которое способно нарушить его устойчивость и развитие или привести к остановке его деятельности. Угрозу можно классифицировать по различным основаниям и измерить их в количественных параметрах. Например, возможный ущерб оценивается числом погибших людей, потерявших (ухудшивших) здоровье, денежной сумме экономических потерь и т.д. По степени вероятности угроза оценивается как невероятная, маловероятная, вероятная, весьма вероятная и вполне вероятная. По степени развития угроза проходит четыре этапа: возникновение (зарождение), экспансия, стабилизация и ликвидация. Отдаленность угрозы во времени определяется как непосредственная, близкая (до 1 года) и далекая (свыше 1 года), а отдаленность в пространстве — территория предприятия, прилегающая к предприятию территория, территория региона, территория страны, зарубежная территория. Темпы нарастания угрозы измеряются по месяцам, кварталам, годам.
Система безопасности предприятия включает в себя ряд следующих подсистем:
Экономическая безопасность — состояние наиболее эффективного использования всех видов ресурсов в целях предотвращения (нейтрализации, ликвидации) угроз и обеспечения стабильного функционирования предприятия в условиях рыночной экономики.
Техногенная безопасность — совокупность действий по обеспечению проектирования, строительства и эксплуатации сложных технических устройств с соблюдением необходимых требований безаварийной их работы.
Экологическая безопасность — состояние защищенности жизненно важных интересов персонала предприятия и его имущества от потенциальных или реальных угроз, создаваемых последствиями антропогенного воздействия на окружающую среду, а также от стихийных бедствий и катастроф.
Информационная безопасность — это способность персонала предприятия обеспечить защиту информационных ресурсов и потоков от угроз несанкционированного доступа к ним [1].
Психологическая безопасность — состояние защищенности от негативных психологических воздействий персонала предприятия и других лиц, вовлеченных в ее деятельность.
Физическая безопасность — состояние защищенности жизни и здоровья отдельных лиц (групп, всех лиц) предприятия от насильственных преступлений.
Научно-техническая безопасность — способность персонала предприятия обеспечить защиту собственной ценной научно-технической продукции от недобросовестных конкурентов.
Пожарная безопасность — состояние объектов предприятия, при котором меры предупреждения пожаров и противопожарной защиты соответствуют нормативным требованиям.
Следует отметить, что вышеуказанные подсистемы второго уровня могут включать в себя подсистемы третьего уровня. Например, подсистемами экономической безопасности могут быть — финансовая, коммерческая, имущественная, а также другие подсистемы безопасности.
Кроме этого, сами подсистемы не разделены между собой непроходимой границей, поскольку они настолько взаимосвязаны друг с другом, что в органическом единстве образуют единую систему безопасности предприятия. Разделение же единой системы безопасности предприятия на подсистемы второго и третьего уровня производится из методических соображений, поскольку это позволяет более детально изучить все его элементы.
Политика безопасности предприятия — это общие ориентиры для действий и принятия решений, которые облегчают достижение целей. Таким образом, для установления этих общих ориентиров необходимо первоначально сформулировать цели обеспечения безопасности предприятия (общая цель нами уже определена ранее). Такими целями могут быть [3]:
— укрепление дисциплины труда и повышение его производительности;
— защита законных прав и интересов предприятия;
— укрепление интеллектуального потенциала предприятия;
— сохранение и приумножение собственности;
— повышение конкурентоспособности производимой продукции;
— максимально полное информационное обеспечение деятельности предприятия и повышение его эффективности;
— ориентация на мировые стандарты и лидерство в разработке и освоении новой технологии и выпускаемой продукции;
— выполнение производственных программ;
— оказание содействия управленческим структурам в достижении целей предприятия;
— недопущение зависимости от случайных и недобросовестных деловых партнеров.
С учетом вышеизложенного можно определить следующие общие ориентиры для действий и принятия решений, которые облегчают достижение этих целей:
— сохранение и наращивание ре сурсного потенциала;
— проведение комплекса превентивных мероприятий по повышению уровня защищенности собственности и персонала предприятия;
— включение в деятельность по обеспечению безопасности предприятия всех его сотрудников;
— профессионализм и специализация персонала предприятия;
— приоритетность несиловых методов предотвращения и нейтрализации угроз.
Для успешного выполнения этой политики необходимо реализовать стратегию безопасности предприятия, под которой понимается совокупность наиболее значимых решений, направленных на обеспечение приемлемого уровня безопасности функционирования предприятия.
Выделяются следующие типы стратегий безопасности:
1) ориентированные на устранение существующих или предотвращение возникновения возможных угроз;
2) нацеленные на предотвращение воздействия существующих или возможных угроз на предмет безопасности;
3) направленные на восстановление (компенсацию) наносимого ущерба.
Первые два типа стратегий предусматривают такую деятельность по обеспечению безопасности, в результате которой не происходит угрозы либо создается заслон ее влиянию. В третьем случае ущерб допускается (возникает), однако он компенсируется действиями, которые предусматривает соответствующая стратегия. Совершенно очевидно, что стратегии третьего типа могут разрабатываться и реализовываться применительно к ситуациям, где ущербы восполнимы, либо тогда, когда нет возможности осуществить какую-либо программу реализации стратегий первого или второго типа [3, c. 124].
Субъекты безопасности предприятия
Обеспечением безопасности предприятия занимаются две группы субъектов. Первая группа занимается этой деятельностью непосредственно на предприятии и подчинена его руководству. Среди этой группы можно выделить специализированные субъекты (совет или комитет безопасности предприятия, служба безопасности, пожарная часть, спасательная служба и т.д.), основным предназначением которых является постоянная профессиональная деятельность по обеспечению безопасности предприятия (в рамках своей компетенции).
Другую часть субъектов этой группы условно можно назвать полуспециализированной, т.к. часть функций этих субъектов предназначена для обеспечения безопасности предприятия (медицинская часть, юридический отдел и т.д.). Наконец, к третьей части этой группы субъектов относится весь остальной персонал и подразделения предприятия, которые в рамках своих должностных инструкций и положений о подразделениях обязаны принимать меры к обеспечению безопасности. Следует иметь в виду, что эффективно обеспечивать безопасность предприятия эти субъекты могут только в том случае, если цели, задачи, функции, права и обязанности будут распределены между ними таким образом, чтобы они не пересекались друг с другом [3, c. 143].
Ко второй группе субъектов относятся внешние органы и организации, которые функционируют самостоятельно и не подчиняются Руководству предприятия, но при этом их деятельность оказывает существенное (положительное или отрицательное) влияние на безопасность предприятия. Субъектами этой группы являются:
1) Законодательные органы.
2) Органы исполнительной власти.
3) Суды.
4) Правоохранительные органы.
5) Научно-образовательные учреждения.
Последние (особенно негосударственные учреждения по подготовке частных охранников) призваны обеспечить научно-методическую проработку проблем безопасности предприятия и подготовку соответствующих специалистов в сфере безопасности предприятий.
Очевидно, что субъекты второй группы по своей инициативе подключаются эпизодически (или никогда) к деятельности предприятия по обеспечению своей безопасности. Организационной формой такого подключения может стать комплексная программа безопасности предприятия, в которой необходимо предусмотреть формы и методы этой работы. Кроме того, можно рекомендовать разработку планов структурных подразделений и всего предприятия в целом по организации взаимодействия с вышеуказанными органами и организациями.
Средства и методы обеспечения безопасности
Среди существующих средств обеспечения безопасности можно выделить следующие:
1) Технические средства. К ним относятся охранно-пожарные системы, видео-радиоаппаратура, средства обнаружения взрывных устройств, бронежилеты, заграждения и т.д.
2) Организационные средства. Создание специализированных орг-структурных формирований, обеспечивающих безопасность предприятия.
3) Информационные средства. Прежде всего, это печатная и видеопродукция по вопросам сохранения конфиденциальной информации. Кроме этого, важнейшая информация для принятия решений по вопросам безопасности сохраняется в компьютерах.
4) Финансовые средства. Совершенно очевидно, что без достаточных финансовых средств невозможно функционирование системы безопасности, вопрос лишь в том, чтобы использовать их целенаправленно и с высокой отдачей.
5) Правовые средства. Здесь имеется в виду использование не только изданных вышестоящими органами власти законов и подзаконных актов, но также разработка собственных, так называемых локальных правовых актов по вопросам обеспечения безопасности.
6) Кадровые средства. Имеется в виду прежде всего достаточность кадров, занимающихся вопросами обеспечения безопасности. Одновременно с этим решают задачи повышения их профессионального мастерства в этой сфере деятельности.
7) Интеллектуальные средства. Привлечение к работе высококлассных специалистов, научных работников (иногда целесообразно привлекать их со стороны) позволяет внедрять новые системы безопасности.
Следует заметить, что применение каждого из вышеуказанных средств в отдельности не дает необходимого эффекта, он возможен только на комплексной основе. В то же время необходимо отметить, что одновременное внедрение всех вышеуказанных средств в принципе невозможно. Оно проходит обычно ряд этапов [3]:
I этап. Выделение финансовых средств.
II этап. Формирование кадровых и организационных средств.
III этап. Разработка системы правовых средств.
IV этап. Привлечение технических, информационных и интеллектуальных средств.
Переведенные из статичного в динамичное состояние вышеуказанные средства становятся методами, т.е. приемами, способами действия. Соответственно, можно говорить о технических, организационных, информационных, финансовых, правовых, кадровых и интеллектуальных методах. Приведем краткий конкретный перечень этих методов:
— технические — наблюдение, контроль, идентификация и т.д.;
— организационные — создание зон безопасности, режим, расследование, посты, патрули и т.д.;
— информационные — составление характеристик на сотрудников, аналитические материалы конфиденциального характера и т.д.;
— финансовые — материальное стимулирование сотрудников, имеющих достижения в обеспечении безопасности, денежное поощрение информаторов и т.д.;
— правовые — судебная защита законных прав и интересов, содействие правоохранительным органам и т.д.;
— кадровые — подбор, расстановка и обучение кадров, обеспечивающих безопасность предприятия, их воспитание и т.д.;
— интеллектуальные — патентование, ноу-хау и т.д.
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре [1].
Информационная безопасность организации - состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие.
В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью [2; 22].
В качестве стандартной модели безопасности часто приводят модель из трёх категорий [2]:
· Конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
· Целостность - избежание несанкционированной модификации информации;
· Доступность - избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Выделяют и другие не всегда обязательные категории модели безопасности:
· неотказуемость или апеллируемость - невозможность отказа от авторства;
· подотчётность - обеспечение идентификации субъекта доступа и регистрации его действий;
· достоверность - свойство соответствия предусмотренному поведению или результату;
· аутентичность или подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным [3; 39].
Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий:
1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.
2. «Электронные» методы воздействия, осуществляемые хакерами. Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся: несанкционированное проникновение в компьютерные сети; DOS_атаки.
Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.
Атака типа DOS (сокр. от Denial of Service - «отказ в обслуживании») ? это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т.п.
3. Компьютерные вирусы. Отдельная категория электронных методов воздействия компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.
4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности: электронная почта в последнее время стала главным каналом распространения вредоносных программ; спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта; как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами; вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.
5. «Естественные» угрозы. На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т.д.
Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой компании [3].
По убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т.д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.
На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности [6; 275]:
- средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
- средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
- межсетевые экраны;
- виртуальные частные сети;
- средства контентной фильтрации;
- инструменты проверки целостности содержимого дисков;
- средства антивирусной защиты;
- системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.
«Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: «Кто вы?» и «Где вы?» являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.
Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России (или других государств).
Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.
Основной принцип действия межсетевых экранов проверка каждого пакета данных на соответствие входящего и исходящего IP_адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.
Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:
1. защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);
2. защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;
3. защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).
Эффективное средство защиты от потери конфиденциальной информации фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется [6].
Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC_сумм).
Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux_системы, Novell) на процессорах различных типов.
Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.
Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. [5; 382].
Выбор способов защиты информации в информационной системе - сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.
После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.
Задачи, сформулированные во введении, решены, цель работы достигнута.
1. Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17.03.2008 №351;
2. Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий ИНТУИТ.ру, 2008.;
3. Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий ИНТУИТ.ру, 2009;
4. Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2008. - 428 с;
5. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. - 544 с.
6. Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. М.: Книжный мир, 2009. - 352 с.
| 
